CVE-2025-25199

Nome do Software Vulnerável e Versões Afetadas: Versões do go-crypto-winnative anteriores a 1.23.6-2 Versões do go-crypto-winnative anteriores a 1.22.12-2 Versão do go-crypto-winnative 0.0.0-20250211154640-f49c8e1379ea

Descrição: O problema está relacionado ao backend de criptografia Go do go-crypto-winnative para Windows, que utiliza a Cryptography API: Next Generation (CNG). As chamadas para cng.TLS1PRF não liberam o handle da chave, resultando em um pequeno vazamento de memória a cada chamada.

Recomendações: Para versões do go-crypto-winnative anteriores a 1.23.6-2, atualize para a versão 1.23.6-2 ou posterior. Para versões do go-crypto-winnative anteriores a 1.22.12-2, atualize para a versão 1.22.12-2 ou posterior. Para a versão do go-crypto-winnative 0.0.0-20250211154640-f49c8e1379ea, nenhuma ação adicional é necessária, pois esta versão já inclui a correção. Como medida temporária de contorno (workaround), considere restringir o uso da função cng.TLS1PRF até que uma correção seja aplicada.